社会管理服务信息平台项目信息系统信安全等级保护设计方案.doc
《社会管理服务信息平台项目信息系统信安全等级保护设计方案.doc》由会员分享,可在线阅读,更多相关《社会管理服务信息平台项目信息系统信安全等级保护设计方案.doc(129页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流社会管理服务信息平台项目信息系统信安全等级保护设计方案.精品文档.凤翔县社会管理服务信息平台项目信息系统信息安全等级保护设计方案西安鼎蓝通讯技术有限公司2013年6月目 录1前言62设计方案概述72.1编制背景72.2编制目的72.3建设内容73系统建设情况描述83.1物理环境分析83.2网络架构描述83.3外网应用系统分析93.3.1百姓网站系统93.4网络设备情况103.5服务器设备情况103.6安全设备情况113.6.1防火墙系统113.6.2网络入侵防御系统113.6.3网络入侵检测系统123.6.4网络行为审计系统123.6.5终端
2、安全管理系统123.6.6终端防病毒124外网安全需求分析134.1系统定级建议134.1.1确定定级对象134.1.2确定系统等级144.2外网安全风险分析254.2.1物理安全风险254.2.2网络安全风险264.2.3主机安全风险284.2.4应用安全风险304.2.5数据安全风险324.2.6管理风险334.3安全需求分析354.3.1符合等级保护技术要求的需求354.3.2符合等级保护管理要求的需求404.3.3符合自身安全防护的需求495外网总体方案设计525.1设计目的525.2设计原则525.3设计参考标准545.3.1信息系统安全等级保护标准和规范555.3.2其他信息安全标
3、准和规范555.4总体安全方案设计概述565.4.1构建分域的控制体系565.4.2构建纵深的防御体系575.4.3保证一致的安全强度575.5分域保护框架建立575.5.1等级保护中对网络结构安全的要求和实现575.5.2安全域的定义585.5.3安全域划分的原则595.5.4外网安全域划分595.5.5外网域控制原则615.5.6外网VLAN划分建议625.6确定分域框架下的保护强度645.7外网总体安全策略设计655.7.1物理安全策略655.7.2网络安全策略665.7.3系统安全策略675.7.4应用安全策略685.7.5安全管理策略685.8外网基于分域保护的总体设计696外网安全
4、技术方案详细设计696.1外网的物理安全设计696.1.1等保对物理安全防护的技术要求696.1.2对物理安全防护的技术实现716.2外网的网络安全设计746.2.1网络访问控制746.2.2网络入侵防护796.2.3网络安全审计846.2.4其他网络安全设计866.3外网的主机安全设计906.3.1系统主机及终端恶意代码防范906.3.2外网终端桌面安全管理系统936.3.3其他主机安全设计966.4外网的应用安全设计1046.4.1等保对应用安全防护的技术要求1046.4.2对应用安全防护的技术实现1086.4.3网页防篡改系统部署1116.4.4网页防篡改系统策略设计1126.5外网的数
5、据安全及备份恢复设计1136.5.1等保对数据安全及备份恢复的技术要求1136.5.2对数据安全及备份恢复的技术实现1146.5.3数据库安全加固措施1156.6安全管理平台设计1186.6.1安全管理中心的主要作用1186.6.2安全管理中心的部署方式1206.6.3安全管理中心的功能设计1207安全管理方案详细设计1238安全建设方案1238.1等级保护总体建设过程1238.2等级保护工程实施规划1258.2.1阶段一:实现基本的安全部署1258.2.2阶段二:实现全面的安全部署1268.2.3阶段三:实现全面的安全优化1279凤翔县社会管理服务信息平台项目安全建设措施汇总1281 前言国
6、家XX局是政府职能单位,负责制定XXX发展的战略、方针和政策,组织和管理XXX工作的实施,监督管理XXX工作的执行,参与开展XXX教育,组织开展ZZZ资源的保护、开发和利用,负责XXX文化的继承发展,负责XXX技术成果的推广应用,负责XXX的国际推广、应用和传播工作。国家XX局自身非常重视信息化建设,从2001年就开始建设当前运行的网络系统,分为三个网络,分别是内网、外网和国办专网。网络及信息化的建设为国家XX局的发展,提升国家XX局业务处理效率,降低国家XX局管理成本起到了关键的作用。伴随着信息系统的快速发展,信息系统所面临的安全威胁日益复杂,用户对信息安全系统的需求与日俱增。同样对于国家X
7、X局,各层领导对安全工作非常重视,从建设初始逐年加大在安全建设方面的投资,进行了一系列的安全组织、制度、管理和技术方面的安全建设工作。目前国家XX局部署了防火墙、防病毒、终端安全管理等安全产品,为国家XX局信息网络的安全防护起到了积极的作用。从外部环境来看,信息安全已经成为近几年信息化建设的热点话题,如何保障信息系统的安全已经成为国家关注的焦点,从27号文件开始,国家陆续出台了一系列的安全政策和标准,提出了以“适度安全、分级保护”为核心的等级保护建设思路,公安部、保密局、国密办以及国信办陆续出台政策,要求国内重要的信息系统应按照等级保护的办法和要求,进行相关安全防护系统的建设,并于2007年启
8、动了等级保护的定级备案工作,并于2009年底开始启动等级保护的安全建设整改工作。等级保护针对信息安全系统建设的过程,提出了具体的管理办法和实施指南,并对信息安全系统提出了技术和管理方面的建设要求。为了尽快落实国家等级保护制度的相关要求,并进一步提升自身的安全防护能力,国家XX局在新办公楼建设工程的网络集成建设项目中同步进行非涉密网络的(分内、外两个网络)等级保护建设方案规划工作。2 设计方案概述2.1 编制背景凤翔县社会管理服务信息平台项目(以下简称:“社管平台”)是凤翔县电子政务系统的重要组成部分。经过前期的准备和前期建设对外网信息系统的依赖程度增加,信息安全问题也日渐凸现。社管平台安全体系
9、是凤翔县电子政务网的重要组成部分,是凤翔县今年在建的重要项目,它是一个包含技术(物理、网络、主机、应用和数据等五个技术层面)和管理(制度、机构、人员、建设和运维等五个管理层面)两大方面,通过技术保障和规章制度建立起来的可靠有效的安全体系。为了贯彻客户对社管平台系统安全保障工作的要求以及等级化保护“坚持积极防御、综合防范”的方针,全面提高信息安全防护能力,外网建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护客户利益,促进日常工作信息化的深入发展。本文将主要阐述和针对平台安全西安鼎蓝通讯技术有限公司对的信息系统安全等级保护建设的规划设计,内网的建设方案另外单
10、独设计。(此方案不包括合同外的硬件建设)2.2 编制目的本方案针对凤翔县县政府电子城管的外网网络环境和应用系统为基础,分析社管平台的安全建设需求,结合国家等级保护的建设规范和技术要求而编制,为凤翔县外网信息安全的符合性建设提供指导。2.3 建设内容项目的主要建设内容是建立凤翔县社会管理服务信息平台项目的总体信息安全等级保护体系,根据等保要求,凤翔县社会管理服务信息平台项目的信息安全体系建设将包括以下几个方面:l 物理安全设计l 网络安全设计l 主机安全设计l 应用安全设计l 数据安全及备份恢复l 安全管理机构规划l 安全管理制度规划l 人员安全规划l 系统建设规划l 系统运维规划3 系统建设情
11、况描述3.1 物理环境分析凤翔县社会管理服务信息平台,机房位于县政府电子政务机房的4层。机房内进行了区域划分管理个区域配置了电子门禁系统,能够控制、鉴别和记录进入的人员。凤翔县社会管理服务信息平台项目信息系统的主要网络设备、服务器及安全设备均部署在外网机房中。机房内所有线缆均采用隐蔽走线方式,并对主要部件进行了固定和标记。机房配备了防盗报警系统和监控报警系统。办公楼内提供了交流地线。采用了具有耐火等级的建筑材料,并设置了灭火设备,安装了自动消防系统。机房采用了恒温恒湿空调,能够有效控制机房内温湿度。3.2 网络架构描述凤翔县社会管理服务信息平台项目与互联网相连,主要承载了外网办公系统、政府网站
12、、数据上传等业务。凤翔县社会管理服务信息平台项目核心为一台高性能防火墙,下联楼层接入服安全管理服务器,外联互联网出口路由器;接入交换机向下连接信息点,即终端计算机。凤翔县社会管理服务信息平台项目链路情况如下:l 服务器与楼层接入交换机之间采用千兆光纤链路;l 楼层交换机采用百兆双绞线链路下联终端计算机;l 核心交换机与服务器交换机之间采用千兆光纤链路,服务器交换机与所有服务器之间采用千兆双绞线链路;l 核心交换机与互联网边界路由器之间采用百兆双绞线链路,路由器出口连接千兆光纤链路,实际出口带宽为10M;l 托管机房的链路均有托管机房管理单位。凤翔县社会管理服务信息平台项目设备部署情况如下:l
13、防火墙、服务器。外网信息点分布情况如下表所示:凤翔县社会管理服务信息平台项目本次实际使用的信息点数量为50个。3.3 外网应用系统分析凤翔县社会管理服务信息平台项目目前主要的系统为百姓网系统、社会管理信息服务平台,社区民生服务平台,三维GIS地理信息平台,数据交换平台,社会管理指挥中心平台,信息交换系统。3.3.1 百姓网站系统百姓网站系统始建于13年,内容丰富完善,已经成为凤翔县社会管理服务信息平台项目信息系统的重要组成部分,是县政府进行信息发布、以及与社会公众互动交流的平台。网站提供权威、准确、全面、快速的信息服务、业务申请及公众互动功能,起到政令快速发布、下情及时上达的作用。网站主要由机
14、构介绍、政务公开、公众参与、政府服务、文化交流、医疗质量监测等模块组成。该系统部署在托管机房的HP 服务器上,通过互联网供局机关内部人员、系统工作人员和社会公众浏览查询以及互动交流。为保障政府网站系统的安全性,使用了入侵防御系统和网页防篡改系统形成边界保护和内容防护。社管平台系统由一台台服务器组成。服务器端软件基于MYSQL数据库以及Java平台开发,数据库与网站服务器安装部署在同一台HP服务器上。社管平台的安全维护工作人员通过客户端访问登陆后台、维护信息及数据。3.4 网络设备情况凤翔县社会管理服务信息平台项目的网络设备有服务器、防火墙,服务器区域,均采用IBM的设备。l 服务器采用IBM品
15、牌,数量为一台,部署在电子政务机房具体情况如下:l 各办公室的终端计算机。3.5 服务器设备情况凤翔县社会管理服务信息平台项目服务器包括应用系统服务器和安全管理服务器。两者同时进行。二、安全管理服务器包括:IBM网络安全监控系统服务器网络安全监控系统安装在一台机架式服务器上,设备型号为HP DL165,操作系统为WINDOWS 2000 Server,服务器的管理认证方式为用户名/口令方式;利用WINDOWS自带的口令加密方式进行保护;在管理上服务器采取高强度口令,删除或禁用无关帐号,开启了日志审计功能,审计重点是用户登录日志;管理维护方式采用远程桌面和现场相结合的方式,有专人负责相关工作。瑞
16、星网络版防病毒系统安装在一台机架式服务器上,设备型号为HP DL165,操作系统为WINDOWS 2003 Server,服务器的管理认证方式为用户名/口令方式;利用WINDOWS自带的口令加密方式进行保护;在管理上服务器采取高强度口令,删除或禁用无关帐号,开启了日志审计功能,审计重点是用户登录日志;管理维护方式采用远程桌面和现场相结合的方式,有专人负责相关工作。网络入侵检测设备管理服务器网络入侵检测设备管理系统安装在一台机架式服务器上,设备型号为HP DL165,操作系统为WINDOWS 2003 Server,服务器的管理认证方式为用户名/口令方式;利用WINDOWS自带的口令加密方式进行
17、保护;在管理上服务器采取高强度口令,删除或禁用无关帐号,开启了日志审计功能,审计重点是用户登录日志;管理维护方式采用远程桌面和现场相结合的方式,有专人负责相关工作。3.6 安全设备情况社管平台网络中广泛使用的安全设备有两大类,一是面向网络安全类的防火墙、入侵防御、入侵检测、网络审计类安全设备;二是面向终端的终端安全管理系统以及防病毒软件类,以及为网站提供防护的网页防篡改软件,安全设备的配置情况为:3.6.1 防火墙系统凤翔县社会管理服务信息平台项目的防火墙系统采用了天融信公司的千兆猎豹系列防火墙NGFW4000-UF(TG-5464)和CISCO公司的PIX515,数量各为一台。两台防火墙分别
18、部署在对外服务区域边界和互联网出口边界,分别对区域之间的访问执行严格的访问控制策略,以有效保护重要的信息系统资源。 3.6.2 网络入侵防御系统凤翔县社会管理服务信息平台项目的网络入侵防御系统采用了天融信公司的千兆网络入侵防御系统TopIDP,数量为一台,部署在托管机房托管区域的互联网出口,重点抵御互联网对托管区域内部重要服务器的攻击行为,尤其是要能够实时发现和抵御恶意用户对重要的服务器系统进行的非法访问、恶意攻击及蠕虫传播等行为并及时进行阻断和报警。网络入侵防御系统的升级,可以通过互联网接入区域进行在线升级。3.6.3 网络入侵检测系统凤翔县社会管理服务信息平台项目的网络入侵检测系统采用了启
19、明星辰公司的千兆网络入侵检测系统天阗NS2200,部署在核心交换机上,重点监测网络用户对重要服务器的访问行为,尤其是要能够实时发现恶意用户对重要的服务器系统进行的非法访问、恶意攻击及蠕虫传播等行为并及时进行报警和采取一定的响应操作。外网网络入侵检测系统的升级,可以通过互联网接入区域进行在线升级。3.6.4 网络行为审计系统凤翔县社会管理服务信息平台项目的网络行为审计系统采用了天融信公司的千兆网络安全审计系统TopAudit(TA-507-WATCH),部署在核心交换机上,对网络中的流量做全面的监控与审计策略,以有效保护重要数据的安全性,并为事后取证提供支持。3.6.5 终端安全管理系统凤翔县社
20、会管理服务信息平台项目的终端安全管理产品采用了北信源公司的内网安全及补丁分发管理系统,客户端部署在所有外网的终端设备上,管理服务器部署在外网的安全管理区域。外网终端安全管理系统的升级可以通过互联网接入区域进行在线升级。3.6.6 终端防病毒凤翔县社会管理服务信息平台项目防病毒系统采用了瑞星公司的网络版防病毒软件,部署在所有终端和服务器上,防病毒服务器在部署安全管理区域,为全网提供病毒升级和监控管理能力。防病毒服务器的升级,可以通过互联网接入区域进行在线升级。4 外网安全需求分析4.1 系统定级建议信息系统定级是进行等级保护设计的首要环节,根据国家信息安全等级保护实施指南,信息系统定级阶段的目标
21、是信息系统运营、使用单位按照国家有关管理规范和GB/T 222402008,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。国家XX局信息安全等级保护的总体思路是:以自身的信息系统特点为核心,结合国家相关标准要求,根据XX局实际业务需求,和对实际业务的影响来划分安全等级,在确定定级方面更重视系统对XX局业务开展的影响性而确定等级,目的只是为体现对不同等级的信息系统,如何加强保护措施方面。而不是根据国家标准,严格地评估信息系统受到破坏后的影响范围和影响程度而确定。4.1.1 确定定级对象根据公安部的信息安全等级保护定级指南指出作为定级对象的信息系统应具有如
22、下基本特征:n 具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。n 具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。n 承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指
23、该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。对于凤翔县社会管理服务信息平台项目,根据承载业务的独立性,以业务系统为核心来划分定级对象,并针对不同的业务系统来设计保护措施,确定的保护对象分别为:政府网站系统、电子政务信息交换系统、“十一五”重点YYY系统和继续教育管理系统。此外,凤翔县社会管理服务信息平台项目中还包括了安全管理区域的安全管理系统和终端办公区域的终端系统,由于凤翔县社会管理服务信息平
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 社会 管理 服务 信息 平台 项目 信息系统 安全 等级 保护 设计方案
限制150内